CryptXXX 랜섬웨어 3.x 버전 부분 복구대상 추가(오피스 문서파일)

CryptXXX 랜섬웨어 3.x 버전의 암호화 방식 및 부분 복구툴을 배포하였다. 부분 복구 대상은 텍스트 형식의 파일들로 아래의 25개의 확장자를 갖는다.

JAVA, HTML, CPP, TXT, HTM, PHP, VBS, ASP, PAS, JSP, ASM, XML, DTD, CMD, CSS, SQL, PY, JS, CS, SH, VB, PS, PL, C, H

2차로 MS Office 문서 파일들 중, PPTX, DOCX, XLSX 확장자 파일들에 대한 부분 복구기능을 추가하였다. 이들 3가지 파일들은 Open XML 형식으로 파일 시작부분이 ZIP 압축헤더 형태를 갖는 공통점이 존재한다. 부분 복구툴에서는 3가지 문서 파일들의 데이터 중 일부가 (공개키 암호화로 인해) 손실된 상태에서도 ZIP 압축헤더를 재구성해주는 방식을 통해 일부 데이터를 복구하는 형태로 전용 복구툴을 업데이트 하였다.

 

 

1. 압축 헤더 재구성

아래의 [그림-1]은 원본 PPTX 파일과 부분복구 파일 간의 압축헤더 부분을 비교한 것으로 압축해제를 위해 필요한 부분을 계산하여 최대한 원본과 동일하게 재 구성한다. [그림-1]에서 붉은색, 파란색 표시 부분을 제외하고 원본과 동일하게 생성한 것을 확인할 수 있다.

 

[그림-1] 압축헤더 재구성

 

 

2. 압축 데이터 일부 손상

파일시작 압축헤더 부분(0x40 크기)을 재 구성하여도 아래의 [그림-2]에서처럼 파일 중간에 공개키로 암호화된 영역은 복구가 불가능하여 임의의 값("####...#")으로 채운 것을 확인할 수 있다.

[그림-2] 문서 내 압축 데이터 중 손상 부분

 

 

3. 부분 복구파일 실행

부분 복구된 PPTX 파일을 실행 시, 아래와 같이 내용에 문제가 있어 [복구] 버튼을 클릭하도록 하는 메시지 창을 확인할 수 있다. 이 때, [복구] 버튼을 클릭하면, 읽을 수 없는 내용이 제거되었다는 알림창을 확인할 수 있다. 

[그림-3] 부분 복구파일 실행 시 알림 창

 

아래의 [그림-4]는 이러한 과정을 거쳐 실행된 부분 복구 PPTX 파일과 원본 파일과의 비교를 나타낸 것으로, 전체 슬라이드와 텍스트 내용은 복구되었으나, 내부 이미지가 손상되어 차이가 발생한 것을 확인할 수 있다.

[그림-4] 원본 파일과의 비교

 

PPTX 의 예제와 동일하게 DOCX, XLSX 도 부분 복구한 파일은 데이터 손상으로 인해 정상적으로 문서가 열리지 않거나, 일부 데이터가 제거된 형태로 보여지는 문제를 갖고 있다.

 

 

4. 부분 복구툴

업데이트된 CryptXXX 랜섬웨어 3.x 버전에 대한 부분 복구 툴은 아래의 경로로부터 다운로드 가능하다.

- [다운로드]

"안랩이 제공하는 전용 백신 및 랜섬웨어 복구툴은 사용자가 비영리 목적으로 다운로드하여 설치 및 이용할 수 있으나 영리적인 목적으로의 사용은 금지되어 있습니다.

만약 영리적인 목적의 이용 · 판매  · 재판매 행위가 확인될 시에는 법적 조치를 취할 수 있음을 밝혀둡니다."

 

 

5. 열리지 않는 파일들에 대한 수동조치 방법 (DOCX, XLSX, PPTX)

 

(1) "My Document.docx" 부분 복구파일을 "My Document.docx.zip"으로 파일명 변경.

(2) Zip2Fix 무료 툴을 이용하여 손상되지 않은 파일들 재 압축. (Zip2Fix [다운로드])

(3) "My Document.docx_ZFX.zip" 이름의 파일이 생성 됨.

(4) "My Document.docx_ZFX.zip" 파일을 압축해제.

(5) 압축파일 내용 중, 아래의 경로의 XML 파일을 통해 일부 데이터 확인가능.

 

IE, Chrome 등의 브로우저로 보여지는 문서 내용은 제한적이며, 이 외에 메모장(notepad.exe)을 활용하여 손상된 형태이나 추가 데이터를 확인할 수 있다. "document.xml" 파일에 저장된 워드 문서의 글자정보는 UTF-8 형식으로 인코딩된 형태임으로 메모장에서 파일을 오픈 시, 인코딩 방식을 UTF-8 로 선택하여 "document.xml" 파일을 오픈할 경우, 일부 글자정보를 확인할 수 있다.